En matière de sécurité, la meilleure pratique consiste à vérifier que le système hôte refuse les redirections ICMP (Internet Control Message Protocol) IPv4. Les routeurs utilisent des messages de redirection ICMP pour informer les serveurs qu'un itinéraire direct existe pour une destination donnée. Ces messages contiennent des informations issues du tableau de routage du système pouvant révéler des parties de la topologie du réseau.

Procédure

  1. Exécutez la commande # grep [01] /proc/sys/net/ipv4/conf/*/send_redirects|egrep "default|all" sur le système hôte pour vérifier qu'il refuse les redirections ICMP IPv4.
  2. Configurez le système hôte pour refuser les redirections ICMP IPv4.
    1. Ouvrez le fichier /etc/sysctl.conf pour configurer le système hôte.
    2. Si les valeurs ne sont pas définies sur 0, ajoutez les entrées suivantes au fichier ou mettez à jour les entrées existantes en conséquence. Définissez la valeur sur 0.
      net.ipv4.conf.all.send_redirects=0
      net.ipv4.conf.default.send_redirects=0 
      
    3. Enregistrez les modifications et fermez le fichier.
    4. Exécutez # sysctl -p pour appliquer la configuration.